此页面大致介绍了一个典型 Horizon Cloud Service on Microsoft Azure 部署中用于通信的所有可能端口和协议。使用这些表可确保您的网络配置和防火墙允许成功部署容器和执行日常操作所需的通信流量。

特定部署所需的特定端口和协议部分取决于您选择用于 Horizon Cloud Service on Microsoft Azure 部署的功能。如果您不打算使用特定的组件或协议,则其所需的通信流量对于您而言不是必需的,您可以忽略与该组件关联的端口。例如,如果您的最终用户仅使用 Blast Extreme 显示协议,则不需要允许 PCoIP 端口。

重要说明: 除了此处介绍的端口和协议外,容器部署及其日常操作还具有特定的 DNS 要求。有关详细信息,请参阅 Microsoft 中的 Horizon Cloud 容器的 DNS 要求以及相关服务功能。有关 VMware 产品支持的其他端口的信息,请转到 VMware Ports and Protocols

在容器部署过程中,部署程序会在部署的所有虚拟机的网络接口 (NIC) 上创建网络安全组 (NSG)。有关这些 NSG 中定义的规则的详细信息,请参阅适用于 Horizon Cloud 容器内的虚拟机的默认网络安全组规则

用于日常操作的关键容器组件所需的端口和协议

除了 DNS 要求以外,下表还列出了为使容器能够在部署后正常执行日常操作所需的端口和协议。其中一些表还列出了特定情况下或者在容器上启用了特定功能的情况下所需的端口和协议。

在 Microsoft Azure 门户中,容器管理器虚拟机的名称中包含一个类似于 vmw-hcs-podID 的部分(其中 podID 是容器的 UUID)以及 node 部分。

注: 从 v2204 服务版本开始,新 Horizon Cloud Service on Microsoft Azure 部署默认已配置高可用性。该部署具有两个容器管理器虚拟机。在下表中,无论您在何处看到短语“容器管理器虚拟机”,该术语均适用于两个容器管理器虚拟机,除非另有说明。

从 2019 年 9 月服务版本的清单 1600 开始,系统将结合使用 Microsoft Azure 负载均衡器与容器管理器虚拟机。因此,从清单 1600 开始新部署的所有容器都具有 Microsoft Azure 负载均衡器。在清单 1600 之前首次部署并随后更新到更高清单版本的容器也具有 Microsoft Azure 负载均衡器。提及容器负载均衡器的表行适用于所有此类容器。

表 1. 容器操作端口和协议
目标 端口 协议 用途
容器管理器虚拟机 容器的另一个容器管理器虚拟机 4101 TCP 此流量是容器管理器虚拟机之间的 JMS 路由。
容器管理器虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS 容器管理器虚拟机使用该端口通过管理子网在容器的 Unified Access Gateway 配置中配置设置。在最初部署具有 Unified Access Gateway 配置的容器以及编辑容器以添加 Unified Access Gateway 配置或更新该 Unified Access Gateway 配置的设置时,该端口要求适用。
容器的 Microsoft Azure 负载均衡器 容器管理器虚拟机 8080 HTTP 负载均衡器后端池中的虚拟机的运行状况检查。

对于在 v2204 版本之前部署的容器,如果未设置高可用性选项开关且尚未添加高可用性,负载均衡器将具有一个容器管理器虚拟机作为其后端池进行检查。

容器管理器虚拟机 域控制器 389 TCP

UDP

要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

如果将在该工作流中指定 LDAP,则 LDAP 服务需要此端口。LDAP 是大多数租户的默认协议。

目标是在 Active Directory 配置中包含域控制器角色的服务器。

容器管理器虚拟机 全局目录 3268 TCP 要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

如果 LDAP 将成为该工作流中的指定协议,则 LDAP 服务需要此端口。LDAP 是大多数租户的默认协议。

目标是在 Active Directory 配置中包含全局目录角色的服务器。

容器管理器虚拟机 域控制器 88 TCP

UDP

Kerberos 服务。目标是在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
容器管理器虚拟机 域控制器 636, 3269 TCP 要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

仅当 LDAPS 将成为该已注册 AD 的配置中的指定协议时,基于 SSL 的 LDAP (LDAP over SSL, LDAPS) 服务才需要这些端口。仅当您的租户支持使用服务的 LDAPS 功能时,才能为已注册的 AD 指定 LDAPS。否则,默认要求使用 LDAP。

容器管理器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
容器管理器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。
容器管理器虚拟机 True SSO 注册服务器 32111 TCP True SSO 注册服务器。要将 True SSO 与 Horizon 容器结合使用时需要使用该服务器。

32111 是安装注册服务器时使用的默认端口。在注册服务器安装过程中,可以根据您的要求配置此端口号。

另请参阅本主题中的 True SSO 和证书管理以及 Horizon Cloud on Microsoft Azure 部署 一节。

容器管理器虚拟机 Workspace ONE Access 服务 443 HTTPS
注: 此行适用于具有单容器代理配置的环境。此信息不适用于具有 Universal Broker 配置的环境。在具有单容器代理配置的环境中, Workspace ONE Access Connector 与一个容器通信,以获取最终用户授权(分配)。
如果未将 Workspace ONE Access 与容器集成,则是可选的。在具有单容器代理配置的环境中,此连接用于在容器与 Workspace ONE Access 服务之间建立信任关系,其中 Workspace ONE Access Connector 与容器同步。确保容器可以在端口 443 上访问您使用的 Workspace ONE Access 环境。如果使用 Workspace ONE Access 云服务,另请参阅 VMware 知识库文章 2149884,以查看 Workspace ONE Access Connector 和容器必须能够访问的 Workspace ONE Access 服务 IP 地址列表。

网关连接器虚拟机端口和协议要求

此表适用于在单独的 VNet 中部署了外部网关时所使用的网关连接器虚拟机。除了 DNS 要求以外,还需要使用下表中的端口和协议以使外部网关在部署后正常执行日常操作。

在下表中,“连接器虚拟机”一词是指网关的连接器虚拟机,用于管理云管理平面与外部网关之间的连接。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于 vmw-hcs-ID 的部分(其中 ID 是网关的部署程序 ID)以及一个 node 部分。

表 2. 容器操作端口和协议
目标 端口 协议 用途
连接器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
连接器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。

Unified Access Gateway 虚拟机端口和协议要求

除了 DNS 及上述主端口和协议要求以外,下表中的端口和协议与您在容器上配置的网关有关,使用这些端口和协议可使这些网关在部署后正常执行日常操作。

对于配置了 Unified Access Gateway 实例且启用了高可用性的容器所建立的连接,必须允许将流量从容器的 Unified Access Gateway 实例传输到下表中列出的目标。在容器部署期间,在 Microsoft Azure 环境中创建了一个网络安全组 (NSG) 以供容器的 Unified Access Gateway 实例使用。

表 3. 来自容器的 Unified Access Gateway 实例的流量的端口要求
目标 端口 协议 用途
Unified Access Gateway 容器的 Microsoft Azure 负载均衡器 8443 TCP 登录身份验证流量。来自 Unified Access Gateway 实例的流量将通过容器的负载均衡器到达容器管理器虚拟机。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme

默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果需要,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。

Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 对客户端驱动器重定向 (CDR) 和多媒体重定向 (MMR) 流量是可选的。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP 对 USB 重定向流量是可选的。
Unified Access Gateway 您的 RADIUS 实例 1812 UDP 对 Unified Access Gateway 配置使用 RADIUS 双因素身份验证时使用。此处显示了 RADIUS 的默认值。
Unified Access Gateway 您的 RSA SecurID Authentication Manager 服务器 5555 TCP 对该 Unified Access Gateway 配置使用 RSA SecurID 双因素身份验证时使用。此处显示的是 RSA SecurID 身份验证 API 代理用于进行代理身份验证的通信端口的默认值。

Universal Broker 所需的端口和协议

要支持使用 Universal Broker 以便对容器中的最终用户分配进行代理,您必须按照下表所述配置端口 443。活动容器管理器通过端口 443 与 Universal Broker 服务建立持久 WebSocket 连接,并通过随机选择的端口从 Universal Broker 服务接收连接请求。

表 4. Universal Broker 的端口要求
源端口 目标 目标端口 协议 用途
活动容器管理器 从可用端口中随机选择 Universal Broker 服务 443 最初为 HTTPS,然后为 WebSocket 用于与 Universal Broker 服务建立持久的 WebSocket 连接

Horizon Edge 虚拟设备所需的端口和协议

为容器激活 Horizon 基础架构监控时,将在该容器的订阅中部署并配置 Horizon Edge 虚拟设备。该虚拟设备在容器的管理子网上具有单个网卡,并且会自动在该网卡上配置 NSG。该 NSG 的规则将指定允许进出该设备的流量。下表列出了当该虚拟设备已部署并配置了容器管理器虚拟机,以便能够按照设计的用途从这些组件中收集监控数据时,该 NSG 在激活过程中需使用的端口和协议。此表还列出了当该虚拟设备按照其在当前服务版本中设计的用途执行收集数据的稳定状态操作时所需的端口和协议。

表 5. Horizon Edge 虚拟设备的端口要求
目标 端口 协议 用途
Horizon Edge 虚拟设备 DNS 服务器 53 TCP DNS 服务
Horizon Edge 虚拟设备 容器管理器虚拟机 9172 任意 在管理子网上执行稳定状态操作的过程中,该虚拟设备用来按照其设计的用途收集监控数据。
Horizon Edge 虚拟设备 云控制平面 443 TCP 在管理子网上执行稳定状态操作的过程中,该虚拟设备用来将监控数据传输到云控制平面。此外,在部署该虚拟设备的过程中,此端口将用于下载特定的外部软件组件(如 Microsoft Azure CLI 软件),该虚拟设备需要使用这些组件来配置容器管理器虚拟机以收集监控数据。
Horizon Edge 虚拟设备 容器管理器虚拟机 4002 TCP 在管理子网上执行稳定状态操作的过程中,该虚拟设备用来按照其设计的用途收集监控数据。

最终用户连接流量端口和协议要求

要从设备连接到容器置备的虚拟桌面和远程应用程序,最终用户需要使用已安装的兼容 VMware Horizon Client 或浏览器(称为 Horizon HTML Access Client)。要将来自最终用户客户端的流量传输到容器置备的虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式:

当您选择用于将外部网关配置部署在容器自身的 VNet 中的部署程序选项时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器该图表启用了高可用性并配置了外部和内部 Unified Access Gateway 配置的容器的 Horizon Cloud 容器架构示意图描述了此公共负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-podID-uag 的资源组中,其中 podID 是容器的 UUID。
当您选择用于部署内部 Unified Access Gateway 配置的部署程序选项时
默认情况下,内部网关配置会部署在容器自身的 VNet 中。部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与租户子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为内部负载均衡器该图表启用了高可用性并配置了外部和内部 Unified Access Gateway 配置的容器的 Horizon Cloud 容器架构示意图描述了此内部负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,公司网络上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,内部网关的负载均衡器位于名为 vmw-hcs-podID-uag-internal 的资源组中,其中 podID 是容器的 UUID。
当您选择用于将外部网关配置部署在其自身的 VNet(而不是容器的 VNet)中的部署程序选项,或者用于使用其自身的订阅的选项(这是使用其自身的 VNet 的特殊子案例,因为 VNet 不会跨订阅)时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器图表将外部网关部署在其自身的 VNet(不同于容器的 VNet)中时的外部网关架构元素示意图描述了此公共负载均衡器和 Unified Access Gateway 实例在网关自身的 VNet 中的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-ID-uag 的资源组中,其中 ID 是容器详细信息页面的 部署程序 ID 字段中显示的值。如本 管理指南中所述,您可以从控制台的“容量”页面访问容器的详细信息页面。
当容器上没有配置 Unified Access Gateway
注: 对于已将租户配置为使用单容器代理的生产环境,进行内部最终用户连接的最佳做法是在容器上使用内部 Unified Access Gateway 网关配置。在单容器代理场景下,这些连接将使用该网关配置。
在具有单容器代理和 Workspace ONE Access 与容器集成的配置中,您通常会让最终用户通过 Workspace ONE Access 进行连接。在这种情况下,必须配置 Workspace ONE Access 和直接指向容器的 Workspace ONE Access Connector。您的最终用户使用 Workspace ONE Access 连接到其容器置备的资源。 对于该配置,您需使用控制台中的容器摘要页面将 SSL 证书上载到容器管理器虚拟机,如直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中所述。然后,完成将 Workspace ONE Access 与容器集成的步骤。
表 6. 容器配置具有外部 Unified Access Gateway 实例时的外部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关的传输来自 Horizon Client 的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon HTML Access 客户端(Web 客户端)的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。浏览器中的 Horizon HTML Access 客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
表 7. 容器配置具有内部 Unified Access Gateway 实例时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅单容器代理 - Horizon Cloud 容器和 URL 内容重定向功能

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关的传输来自 Horizon Client 的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon HTML Access 客户端(Web 客户端)的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。浏览器中的 Horizon HTML Access 客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
表 8. 使用直接连接(例如,通过 VPN)时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 容器的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。来自客户端的流量将通过容器的负载均衡器到达容器管理器虚拟机。
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP USB 重定向
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 客户端驱动器重定向 CDR) 和多媒体重定向 (MMR)
浏览器 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 443 TCP HTML Access

从基础虚拟机、VDI 桌面虚拟机和场 RDSH 虚拟机中安装的代理传输的流量的端口和协议要求

以下端口必须允许基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中安装的代理相关软件与容器管理器虚拟机之间传输的流量。

目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 容器管理器虚拟机 4001 TCP Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该服务来在证书指纹验证和交换过程中与容器进行通信,以保护与容器的 SSL 连接。在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。例如,“导入的虚拟机”页面上的重置代理配对操作需要通过端口 4001 进行通信,以便在导入的基础虚拟机和容器之间进行该代理配对工作流。
注: 稳定状态操作需要端口 4001 和 4002。有时候代理可能需要为容器重新设置密钥,因此端口 4001 必须保持为打开状态。
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 容器管理器虚拟机 4002 TCP Java 消息服务(JMS,SSL),这些虚拟机中的代理使用该服务来通过安全的 SSL 连接与容器进行通信。
桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent VMware Cloud Services 主机名 scapi.vmware.com 443 TCP 用于 VMware 服务使用情况数据计划。从租户子网出站后,来自 Horizon Agent 的流量将被发送到 VMware Cloud Services 主机名 scapi.vmware.com。
桌面虚拟机或场 RDSH 虚拟机中的 FlexEngine 代理(适用于 VMware Dynamic Environment Manager 的代理) 设置为供桌面虚拟机或场 RDSH 虚拟机中运行的 FlexEngine 代理使用的那些文件共享 445 TCP 如果您使用 VMware Dynamic Environment Manager 功能,则 FlexEngine 代理访问您的 SMB 文件共享。

App Volumes 功能所需的端口和协议

适用于 Horizon Cloud on Microsoft Azure 的 App Volumes 应用程序 - 概述和必备条件中所述,为了能够使用 App Volumes 功能(可用于 Horizon Cloud 容器),必须为容器租户子网上的 TCP 协议流量配置端口 445。端口 445 是标准 SMB 端口,用于访问 Microsoft Windows 上的 SMB 文件共享。AppStack 存储在 SMB 文件共享中,该文件共享与容器管理器虚拟机位于同一个资源组中。

重要说明: 如果要集成 Horizon Cloud 容器和 NSX Cloud 版本 3.1.1 及更高版本,并且要使用 App Volumes 分配,您必须在部署 NSX PCG 之后并在使用该容器创建第一个 App Volumes 分配之前,在 NSX 防火墙规则中为容器租户子网手动打开此端口 445/TCP。
表 9. App Volumes 的端口要求
目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 App Volumes 代理 容器管理器的资源组中的 SMB 文件共享 445 TCP 在容器的租户子网上,用于访问 SMB 文件共享中存储的 App Volumes AppStack。

Workspace ONE Assist for Horizon 的集成 - DNS、端口和协议要求

Workspace ONE Assist for HorizonWorkspace ONE UEM 产品系列中的一款产品。从 Horizon Cloud 2021 年 8 月版开始,在满足特定要求的情况下,您可以将该产品与从 Horizon Cloud 租户的容器中置备的 VDI 桌面集成使用。有关要求的完整详细信息,请参阅 Workspace ONE for Horizon 和 Horizon Cloud 文档

使用协助功能需要在 VDI 桌面虚拟机和支持与 Horizon Cloud 租户集成的 Workspace ONE Assist 服务器之间进行出站通信。

DNS 要求
确保 Workspace ONE Assist 服务器的 DNS 名称可解析,并且可从 VDI 桌面虚拟机将驻留的容器租户子网中访问。 Workspace ONE for Horizon 和 Horizon Cloud 文档提供了 Workspace ONE Assist 服务器的 DNS 名称。
端口和协议要求
必须允许安装了 Workspace ONE Assist for Horizon 应用程序的 VDI 桌面虚拟机中使用端口 443、TCP 和 HTTPS 的出站流量。

活动支持请求、临时 Jump Box 端口和协议需要时

如果您向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署一个临时 jump box 虚拟机,以便与 VMware 管理的设备进行 SSH 通信,则该 jump box 将需要使用此处所述的端口和协议。

对于与支持相关的 jump box 部署,将需要向您申请相关权限。VMware 技术支持团队将根据具体支持情况告知您需满足的通信要求。

这种与支持相关的 jump box 虚拟机设计为作为源与以下目标通信。

  • 容器的容器管理器虚拟机端口 22 (使用 SSH)和端口 22。
  • Unified Access Gateway 虚拟机端口 9443(使用 HTTPS)。
  • 网关连接器虚拟机端口 22(使用 SSH),针对将外部网关部署在其自己的 VNet 中的部署。
  • Horizon Edge 虚拟设备 端口 22(使用 SSH),针对配置了 Horizon 基础架构监控 的部署。

支持请求和部署中所用设备的性质决定了必须允许哪些 VMware 管理的特定设备作为通信目标。

表 10. 与支持相关的 Jump Box 端口和协议
目标 端口 协议 用途
Jump box 虚拟机
  • 容器管理器虚拟机
  • 网关连接器虚拟机
  • Horizon Edge 虚拟设备
22 SSH 如果 VMware 技术支持团队需要与列出的一个或多个设备进行此通信以满足您的支持请求,则 jump box 虚拟机会通过管理子网与目标设备上的端口 22 进行通信。
Jump box 虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS 如果 VMware 技术支持团队需要进行此通信来满足您的支持请求,则 jump box 虚拟机会通过管理子网进行通信,以在 Unified Access Gateway 配置中配置相关设置。

由于这些虚拟机是动态分配 IP 地址的,因此以下网络规则允许所述的通信。在支持请求活动期间,始终向 VMware 技术支持团队寻求指导和监督,以了解与支持相关的 jump box 部署的要求。

  • 将管理子网 CIDR 作为源和目标,并指定目标端口 22、源端口任意和协议 TCP。
  • 在涉及 Unified Access Gateway 配置时,将管理子网 CIDR 作为源和目标,并指定目标端口 9443、源端口任意和协议 TCP。

True SSO 和证书管理以及 Horizon Cloud on Microsoft Azure 部署

Horizon Cloud 容器置备的桌面虚拟机不会直接与注册服务器通信。Horizon Cloud on Microsoft Azure 部署的活动容器管理器虚拟机会将证书请求中继到注册服务器。获取证书后,桌面虚拟机中的 Horizon Agent 将使用该证书代表桌面用户执行证书登录操作。

Horizon Cloud on Microsoft Azure 部署的容器管理器虚拟机的请求响应架构与 Horizon 部署的 Horizon Connection Server 相同。在 Horizon Cloud on Microsoft Azure 部署中,容器管理器虚拟机会与主虚拟机子网(也称为租户子网)以及可能已经使用“编辑容器”工作流添加了 VDI 管理员的任何额外虚拟机子网上的桌面虚拟机建立连接。

以下两类证书将通过不同组件进行验证:用户证书和通道证书。True SSO 将添加经过身份验证服务器验证的用户证书。对于 Horizon Cloud on Microsoft Azure 部署,该身份验证服务器是 Microsoft Active Directory 服务器。由于 Microsoft 架构决定了可用于此证书验证的端口号,而且这些端口是 Microsoft 架构本身的一部分,并不是特定于 Horizon Cloud on Microsoft Azure 部署本身,因此可以使用一系列广泛的端口号进行此验证。

Horizon Cloud on Microsoft Azure 部署中使用 True SSO 时,Horizon Agent 会生成一个 CSR,然后通过该容器管理器虚拟机与该 Horizon Agent 之间已有的通信通道,将其发送到部署的活动容器管理器虚拟机。容器管理器虚拟机通过安全的 SSL 加密 TCP 通道(端口 32111 或客户在注册服务器安装中配置的端口)将请求中继到注册服务器。注册服务器生成一个 CMC 请求,附加容器管理器提供的 CSR 和用户名,使用注册代理证书对 CMC 进行签名,然后使用 MS-DCOM (RPC) 协议将其提交给证书颁发机构。

Horizon Agent 接收证书,将其作为登录凭据进行序列化,并将其提交到 Windows 登录流程。LSASS Windows 组件接收证书,对其进行验证(检查其是否有效且可信,以及本地计算机是否持有证书的私钥),然后将其发送到域控制器 (DC)。DC 可以选择检查用户证书中指定的 CRL。

具有丰富视觉效果的网络图

有关对这些组件、端口和协议之间关系进行的具有丰富视觉效果的描述,请参见 VMware Digital Workspace Tech Zone 的网络图和说明,网址为 https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams